Sécuriser le service desk pourquoi les attaques d’ingénierie sociale réussissent toujours

Sécuriser le service desk pourquoi les attaques d'ingénierie sociale réussissent toujours

Les attaques par ingénierie sociale qui visent les centres de support informatique restent l’une des voies les plus efficaces pour les pirates afin de pénétrer les systèmes des entreprises. Les attaques de 2025 contre les détaillants britanniques Marks & Spencer, Co-op et Harrods, menées par le collectif de pirates Scattered Spider, ont mis ces tactiques sous les projecteurs, mais elles ne sont pas des cas isolés.

Pour Marks & Spencer, le président Archie Norman a confirmé que les assaillants se sont fait passer pour un employé. Ils ont convaincu un agent d’un service d’assistance tiers de réinitialiser des identifiants, ce qui leur a donné accès aux systèmes internes.

Plus récemment, la Carnival Corporation a signalé un incident de cybersécurité. Un attaquant a utilisé l’ingénierie sociale pour tromper un employé et obtenir l’accès à une partie limitée de l’environnement informatique de l’entreprise.

A peu près à la même période, le FBI a alerté les organisations sur des activités liées au groupe de rançongiciels Silent Ransom Group. Ses membres se seraient fait passer pour des agents du support informatique et auraient persuadé des employés de lancer des sessions d’accès à distance avec des outils d’administration légitimes.

Une réglementation plus stricte, une sensibilisation accrue et plusieurs arrestations très médiatisées n’ont guère réduit l’intérêt des pirates pour cette voie d’accès aux réseaux d’entreprise. Le succès persistant de ces attaques démontre une réalité simple : compromettre un service d’assistance est souvent plus facile que de compromettre la technologie qu’il protège.

Comprendre pourquoi les pirates ciblent ces services, et comment ces attaques se déroulent, constitue la première étape pour s’en défendre.

Pourquoi les pirates ciblent-ils les services d’assistance ?

Scattered Spider et les pirates qui emploient des méthodes similaires visent les centres de support parce qu’ils représentent un point d’entrée à fort impact et à faible résistance vers les réseaux d’entreprise. Voici pourquoi ces attaques continuent de réussir :

Vulnérabilité humaine : Le personnel du support est avant tout formé pour aider, même s’il a reçu une formation sur les attaques par ingénierie sociale. Cette disposition peut le rendre sensible aux tentatives d’usurpation d’identité, surtout lorsque les attaquants semblent à l’aise, pressés et bien informés.

Accès aux identifiants et réinitialisations : Les agents du service d’assistance ont généralement la capacité de réinitialiser les mots de passe, de créer des comptes ou de désactiver l’authentification multifacteur. Cela offre aux attaquants un chemin direct vers un accès légitime.

Contournement des défenses techniques : Au lieu de franchir des pare-feux ou d’exploiter des logiciels non corrigés, l’ingénierie sociale permet aux attaquants d’entrer par la porte principale en utilisant la confiance et la manipulation.

Vitesse et discrétion : Un appel ou une conversation bien préparé peut procurer un accès en quelques minutes, souvent sans déclencher d’alertes de sécurité, en particulier lorsque les pirates imitent les processus internes ou usurpent des numéros internes.

En résumé, c’est la méthode la plus efficace pour des hackers comme Scattered Spider afin d’élever leurs privilèges et de se fondre dans le personnel, ce qui fait des services d’assistance une cible faible mais critique.

Comment se déroule une attaque contre un service d’assistance ?

1. Reconnaissance et préparation

  • Cibles : Identifier de grandes entreprises avec un support informatique décentralisé ou externalisé (par exemple, détaillants, casinos, compagnies aériennes).
  • Collecte d’informations : Utiliser LinkedIn, les organigrammes de l’entreprise ou des fuites de données pour apprendre les noms des employés, leurs rôles et les systèmes de tickets (par exemple, ServiceNow).
  • Outils d’usurpation : Configurer des services VoIP pour imiter des numéros de téléphone internes ; parfois utiliser des téléphones obtenus par SIM swapping ou usurper des comptes Slack/email.

2. Usurpation d’identité et ingénierie sociale

Approche : Appeler ou contacter par chat le service d’assistance en se faisant passer pour un véritable employé ou prestataire qui a besoin d’une aide urgente.

Prétextes courants :

  • « Je suis bloqué sur mon compte avant une réunion cruciale. »
  • « J’ai perdu mon téléphone ; j’ai besoin de réinitialiser mon MFA pour accéder à la paie/à l’email. »
  • « Nous avons un incident et j’ai besoin d’identifiants administrateur pour aider à le résoudre. »

Tonalité et langage :

  • Se montrer amical, pressé ou légèrement stressé pour faire pression sur l’agent de support.
  • Utiliser un jargon interne ou des références (« Peux-tu simplement aller dans Okta et forcer une réinitialisation comme tu l’as fait la semaine dernière pour Mike aux Opérations ? »).
  • Mentionner des événements locaux d’actualité (même commenter la météo !) pour établir un rapport et réduire la suspicion que l’appelant est un pirate.

3. Réinitialisation des identifiants et contournement du MFA

Objectif : Tromper le service d’assistance pour qu’il :

  • Réinitialise le mot de passe sur le compte d’un utilisateur réel.
  • Supprime ou réenregistre l’authentification multifacteur.
  • Crée un nouveau compte avec des accès privilégiés.

Tactiques :

  • Usurper l’identifiant d’appelant ou utiliser des informations RH volées pour passer la vérification.
  • Si l’accès est bloqué, rappeler en se faisant passer pour quelqu’un d’autre ou demander à escalader, par exemple : « Puis-je parler à votre responsable ? ».
  • Utiliser des téléphones obtenus par SIM swapping pour intercepter les codes MFA ou demander qu’ils soient envoyés sur un nouvel appareil.

4. Accès et mouvement latéral

  • Se connecter en tant que l’employé dont l’identité a été usurpée.
  • Élever les privilèges via des erreurs de configuration des stratégies de groupe, des systèmes de tickets ou des outils internes (par exemple, Okta, Citrix, Azure AD).
  • Déployer des logiciels malveillants, exfiltrer des données ou établir une persistance (portes dérobées, comptes frauduleux).

5. Rançongiciel ou vol de données

Selon la cible :

  • Déployer un rançongiciel via un affilié comme DragonForce (par exemple, dans l’attaque contre M&S).
  • Exfiltrer des données sensibles pour extorquer (comme dans les attaques contre Caesars/MGM).
  • Rester discret pour des campagnes futures (surtout si plusieurs organisations du même secteur sont ciblées).

Comment les attaques contre les services d'assistance réussissent

Comment se défendre contre les attaques sur les services d’assistance

Voici plusieurs mesures clés que les organisations peuvent prendre pour se protéger contre les attaques par ingénierie sociale visant les centres de support, comme celles utilisées par Scattered Spider :

  1. Exiger une vérification d’identité stricte pour toutes les réinitialisations de mot de passe, y compris une confirmation hors bande (par exemple, par une seconde méthode de contact connue).
  2. Imposer une authentification multifacteur qui ne peut pas être facilement réinitialisée ou transférée sans vérification en personne ou approbation d’un responsable.
  3. Former le personnel du service d’assistance à reconnaître les tactiques d’ingénierie sociale, en particulier les demandes urgentes ou chargées d’émotion et les numéros internes usurpés.
  4. Surveiller les activités inhabituelles au service d’assistance, comme des réinitialisations de mot de passe répétées ou des suppressions de MFA pour des comptes à haut niveau de privilège.
  5. Limiter les privilèges du support pour que les agents ne puissent pas réinitialiser l’accès pour les utilisateurs administrateurs ou informatiques sans procédure d’escalade.
  6. Réviser régulièrement les accords de support externalisé, en s’assurant que les procédures de vérification, les chemins d’escalade et les flux d’approbation sont clairement documentés et testés via des exercices sur table ou des tests d’intrusion.
  7. Utiliser un contrôle d’accès basé sur les rôles et consigner tous les changements d’identifiants, avec des alertes pour les utilisateurs à risque élevé.
  8. Réaliser régulièrement des simulations de hameçonnage et d’ingénierie sociale ciblant spécifiquement les attaques par téléphone et chat.

Se protéger contre l’ingénierie sociale avec Specops Secure Service Desk

Specops Secure Service Desk peut aider à atténuer les attaques par ingénierie sociale en ajoutant une vérification d’identité aux demandes de réinitialisation de mot de passe et de déverrouillage de compte. Les appelants peuvent être vérifiés à l’aide de l’authentification multifacteur, d’attributs d’annuaire ou de questions de défi personnalisées avant qu’aucune action ne soit entreprise.

Interface Specops Service Desk

Interface de Specops Secure Service Desk

Même si un attaquant connaît le nom, le rôle ou la terminologie interne d’un employé, il doit encore prouver son identité. La solution fournit également des pistes d’audit et des contrôles granulaires sur les actions de récupération de compte, ce qui aide à réduire le risque d’usurpation d’identité et d’accès non autorisé.